Journalnummer: 2010-631-0126
1. Datatilsynet vender hermed tilbage til sagen, hvor der er sket fejl i forbindelse med udstedelse af et antal NemID certifikater.
Datatilsynet må lægge til grund, at 27.611 certifikater er udstedt, uden at de fastlagte procedurer med forskudt fremsendelse af brevet med nøglekort og brevet med pin-kode har været fulgt.
Efter Datatilsynets opfattelse er der tale om et centralt sikkerhedselement, og tilsynet kan se, at DanID også selv anser dette element for vigtigt.
Det er derfor Datatilsynets opfattelse, at DanID straks efter virksomhedens konstatering af fejlen burde have spærret disse certifikater. Datatilsynet finder det meget beklageligt, at dette ikke skete.
Datatilsynet bemærker i den forbindelse, at tilsynet i sit brev af 17. august 2010 anmodede DanID om omgående at forholde sig til tilsynets spørgsmål om spærring af de berørte signaturer, og at DanID før dette tidspunkt var bekendt med, at der var opstået en fejl.
Eftersom der er sket brud på en procedure, der er et centralt sikkerhedselement og dermed en forudsætning for, at NemID kan leve op til de fornødne sikkerhedsforanstaltninger efter persondataloven , når certifikaterne anvendes ved login til digitale selvbetjeningsløsninger mv., mener Datatilsynet, at der straks skal ske spærring af de berørte certifikater.
Hertil kommer, at det må anses for afgørende for tilliden til NemID, at de fastlagte sikkerhedsprocedurer konsekvent følges, og at der ved brud på sikkerhedsprocedurerne tages hånd om problemet både i forhold til de berørte certifikater og i forhold til at undgå gentagelser i fremtiden.
Med hensyn til den fremadrettede sikring af, at der undgås fejl, har Datatilsynet noteret sig det af DanID oplyste.
En nærmere gennemgang af sagen følger nedenfor.
2. DanID har den 24. august 2010 sendt svar på Datatilsynets henvendelse af 17. august 2010.
DanID har bl.a. oplyst, at der har været to årsager til, at pin-breve er leveret til Post Danmark samme dag som nøglekortene:
- En printerfejl hos printleverandøren har forsinket produktionen af velkomstbrevene med nøglekort, så de blev afleveret til Post Danmark samme dag som pin-brevene
- Der har været fremsendt så store ordrer på print af velkomstbrevet til printleverandøren, at produktionen har strakt sig over to dage, hvorved velkomstbreve med nøglekort og pin-breve er blevet leveret samme dag til Post Danmark.
Antallet af potentielt berørte brugere i den angivne periode er 27.611. Dette tal omfatter de brugere, hvor DanID kan dokumentere, at brevene er afleveret til Post Danmark på samme tid.
Det fremgår endvidere, at DanID har foretaget en samlet vurdering af de sikkerhedsmæssige og brugerrelaterede aspekter ved situationen og ikke fundet anledning til at foretage en spærring af de berørte brugeres certifikater.
DanID vurderer samtidig, at der med de allerede indførte tiltag ikke vil forekomme lignende tilfælde i fremtiden forårsaget af DanID eller den af virksomheden valgte printleverandør.
I brevet er desuden omtalt en planlagt it-mæssig ændring, som skal sikre, at de manuelle kontroller og processer erstattes af en it-proces.
3. Datatilsynet gennemgik i 2009 registreringsprocedurerne i forbindelse med den nye digitale signatur, NemID.
I forbindelse med Datatilsynets gennemgang af registreringsprocedurerne stillede tilsynet bl.a. spørgsmål om, hvordan det sikres, at forsendelse af kodekort og brevet med midlertidig adgangskode sker separat, og om der er tidsforskydning i forsendelsen. Datatilsynet fik det svar, at den midlertidige adgangskode og nøglekort for det samme NemID aldrig fremsendes på samme dag, hvorved risiko for modtagelse på samme dag elimineres eller nedsættes væsentligt.
Datatilsynet anser de registreringsprocedurer, der er beskrevet over for tilsynet, som minimumskrav, der skal være opfyldt, for at de certifikater, som DanID udsteder, kan anvendes i digital forvaltning, herunder som adgangsgivende til myndighedernes it-systemer med følsomme og fortrolige personoplysninger.
For de omhandlede 27.611 certifikater, hvor Datatilsynet ud fra det oplyste lægger til grund, at der er sket samtidig fremsendelse af brevene, er udstedelsen sket uden at leve op til de fastlagte procedurer.
Datatilsynets generelle vurdering af OCES II løsningen er givet ved tilsynets brev af 3. april 2009 til IT- og Telestyrelsen. Brevet er tilgængeligt her: www.datatilsynet.dk/afgoerelser/afgoerelsen/artikel/datatilsynets-udtalelse-vedroerende-oces-ii-loesningen/.
Tilsynet har bl.a. tilkendegivet følgende:
"En forudsætning for tilsynets generelle accept af, at OCES certifikatet anvendes inden for persondatalovens område - f.eks. til at give borgerne adgang til følsomme oplysninger hos offentlige myndigheder - er, at registreringsprocedurerne i OCES II løsningen er tilstrækkeligt sikre. Tilsynet har endnu ikke fået forelagt de nye registreringsprocedurer, men tilsynet går ud fra, at dette sker, inden de tages i brug."
4. Datatilsynet anmoder DanID om at bekræfte, at certifikaterne bliver spærret.